Ujawnianie informacji dotyczących osoby (jedynie) na podstawie ustawy, czyli... uchwały rady gminy(?)

Jak wiadomo - Generalny Inspektor Danych Osobowych przeprowadził w 2009 r. kontrolę w Zarządzie Transportu Miejskiego w Warszawie, która zakończyła się wydaniem decyzji DIS/DEC-598/24248/09 z 3 lipca 2009 r. Jeden z czytelników postanowił zwrócić się do GIODO z wnioskiem o udzielenie informacji publicznej, w którym zadał dwa pytania: (1) czy w ramach tej kontroli badana była zgodność przetwarzania danych osobowych, w szczególności numeru PESEL, z art 51 konstytucji RP oraz (2) na jakiej podstawie prawnej wymagane jest podawanie numeru PESEL przy wyrabianiu Warszawskiej Karty Miejskiej?

Z odpowiedzi GIODO czytelnik dowiedział się, że w trakcie czynności kontrolnych przeprowadzonych w Zarządzie Transportu Miejskiego w Warszawie, GIODO nie stwierdził, aby zakres danych umieszczany w treści karty biletu elektronicznego, dla realizacji praw przewoźnika, wynikających z przepisów ustawy z dnia 15 listopada 1984 r. Prawo przewozowe, był niezgodny z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Tytułem dygresji - w tekście MKiDN przesłało odpowiedź w sprawie ACTA, czyli dlaczego nie możemy wiedzieć cytowałem odpowiedź, którą Ministerstwo Kultury i Dziedzictwa Narodowego przesłało na wniosek o udzielenie informacji na temat dokumentów związanych z negocjowaną na poziomie ponadkrajowym, a znajdujących się w posiadaniu rządu polskiego. Tam m.in. znalazła się intrygująca teza, że pojęcie "inne ustawy", którym posłużył się ustawodawca formułując art 1 ust. 2 ustawy o dostępie do informacji publicznej ("przepisy ustawy nie naruszają przepisów innych ustaw określających odmienne zasady i tryb dostępu do informacji będących informacjami publicznymi"). Ministerstwo uznało, że w szerokim rozumieniu pojęcia "inne ustawy" mieszczą się takie akty normatywne, jak Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji...

Okazuje się, że pojęcie "ustawa" może być interpretowane również na gruncie konstytucyjnych przepisów o ochronie danych osobowych i prywatności.

W odpowiedzi GIODO czytelnik przeczytał (wytłuszczenie moje, VaGla):

(...)
Zasady wydawania oraz korzystania z tzw. spersonalizowanej Warszawskiej Karty Miejskiej zostały określone w uchwale Rady m. st. Warszawy nr XLVII/1454/2009 z dnia 15 stycznia 2009 r. Zgodnie z przedmiotową uchwałą, od 1 stycznia 2010 r. imienne bilety okresowe (30 – 90-dniowe) będą kodowane wyłącznie na kartach spersonalizowanych. Odnosząc się do art. 51 ust. 1 Konstytucji RP, który stanowi, iż nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby, wskazać należy, że źródłem powszechnie obowiązującego prawa RP są na obszarze działania organów, które je ustanowiły, akty prawa miejscowego (art. 87 ust 2 Konstytucji RP). I tak, stosownie do art. 41 ust 1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2001 r. Nr 142, poz. 1591 ze zm.), uchwała rady gminy jest aktem prawa miejscowego, a zatem powszechnie obowiązującym źródłem praw.

Jednocześnie, uznano, że numer PESEL podróżnych może być przetwarzany jedynie w wewnętrznych systemach administratora danych, nie umieszczany natomiast w treści karty biletu elektronicznego, co jak wynikało z ustaleń pokontrolnych nie miało miejsca w omawianej sytuacji. Pozyskiwanie przez przewoźników danych jednoznacznie identyfikujących osoby używające kart spersonalizowanych jest niezbędne dla potwierdzenia tożsamości tych osób.

Ocena wyboru określonej usługi przez przedsiębiorcę, nie należy do kompetencji Generalnego Inspektora Ochrony Danych Osobowych, a zgodność takich działań pod kątem ewentualnego naruszenia praw konsumenckich może badać Urząd Ochrony Konkurencji i Konsumentów, który nie ocenił negatywnie tej praktyki z punktu widzenia obowiązujących przepisów prawa.

W tym miejscu informuję, że zmiana obowiązujących w tym zakresie przepisów aktu prawa miejscowego jest możliwa wyłącznie przez uprawnione do tego organy, w trybie i na
zasadach określonych w odrębnych przepisach.

Dla porządku zacytujmy jeszcze art. 51 Konstytucji RP (wytłuszczenie moje, VaGla):

Art. 51

1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.

4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Tak wyrabia się nowa

Tak wyrabia się nowa zasada, ze ten kto może interpretować prawo, może również je tworzyć.

Nie musisz korzystać

Nie musisz korzystać z komunikacji miejskiej. Co więcej nie musisz kupować imiennych biletów okresowych nawet jeśli chcesz z tej komunikacji jednak korzystać.
Tak, mi też się nie podoba zakres danych zbieranych przez ZTM dla czegoś tak prostego jak bilet.

adekwatność

ksiewi's picture

A czy GIODO badał zgodność z art. 26 ust. 1 pkt 3 uodo i jak uzasadnił adekwatność zbierania tych wszystkich danych do celu?

W zacytowanym przez VaGlę fragmencie odpowiedzi GIODO czytamy:

"Pozyskiwanie przez przewoźników danych jednoznacznie identyfikujących osoby używające kart spersonalizowanych jest niezbędne dla potwierdzenia tożsamości tych osób."

Można się zastanawiać, czy istotnie pozyskanie danych jednoznacznie identyfikujących pasażera jest niezbędne dla potwierdzenia tożsamości tych osób. W grę wchodzi tu właśnie zasada adekwatności. Mianowicie, czy istotnie ZTM musi na 200% wiedzieć, że Jan Kowalski jest Janem Kowalskim, a nie kosmitą, który go zjadł i przejął jego ciało i umysł nie wnosząc dodatkowej opłaty za bilet miesięczny, czy też wystarczy im po prostu 90% pewność wynikająca np. z oświadczenia tego Jana Kowalskiego i doświadczenia życiowego?

Czy ZTM przeprowadziło np. badania ile osób korzysta z cudzych kart imiennych i czy odsetek ten jest tak wysoki, że uzasadnia wprowadzenie procedur podwyższających stopień pewności? Bo takie badania pozwoliłyby określić adekwatność.

Z drugiej strony, jeżeli już wykażemy, że faktycznie wobec każdego pasażera należy ponad wszelką wątpliwość sprawdzić, czy to na pewno on, a nie jego brat bliźniak, bo przecież przejazd brata bliźniaka na ten sam bilet naraziłby ZTM na niepowetowane szkody, to również należy zadać pytanie, czy zakres danych zbieranych przez ZTM jest adekwatny - tyle że w drugą stronę.

Bo przecież czy kontroler istotnie uzyska 200% pewność tożsamości kontrolowanej osoby jeżeli sprawdzi jej imię, nazwisko i PESEL? Przecież nie można wykluczyć takich sytuacji, że autobusem jedzie właśnie bliźniak dysponujący dowodem osobistym swojego brata. Czy wobec takiego zagrożenia nie byłoby adekwatnym żądanie dodatkowych danych, jak np. świadectwa urodzenia, podania tajnego hasła, odcisków palców, skanu siatkówki.

Zaufanie, zwyczaj i doświadczenie życiowe jest podstawą wielu stosunków społecznych i prawnych. Czy zmierzamy w dobrą stronę zastępując te filary swoistym domniemaniem, że każdy kłamie i wobec każdego zachodzi konieczność pełnej weryfikacji?

A na marginesie, w cytowanej przez GIODO uchwale ZTM nie znalazłem żadnego przepisu nakazującego pasażerom ujawnianie jakichkolwiek informacji dotyczących ich osób. Wnoszę z tego, że wymóg ten nie wywodzi się nawet z uchwały, lecz po prostu z jednostronnej decyzji ZTM, które zdecydowało się na wdrożenie kart spersonalizowanych w taki a nie w inny sposób.

A poza tym, to z ww. uchwały wynika, że nie jest możliwe kupienie biletu miesięcznego lub kwartalnego na okaziciela w strefie 1. Osoba, która nie chce podawać swoich danych musi kupić bilet na okaziciela w strefie 2, który jest ok. 2 razy droższy. Cena prywatności?

Szkoda, że GIODO nie

Szkoda, że GIODO nie stosuje się w praktyce do wyroków sądów, które to wyroki sam w swoich sprawozdaniach cytuje. Mam na myśli wyrok NSA z dnia 13 stycznia 2003 r., II SA/Kr 2812/02, w którym Sąd wyraźnie stwierdził, że przepisy prawa miejscowego nie mogą być same w sobie podstawą uprawniającą do przetwarzania danych osobowych.

NBP

Szerokiego zakresu danych (m.in. PESEL, adres) domaga się także NBP przy rejestracji w systemie Kolekcjoner (jedyny w tej chwili sposób zakupu monet i banknotów kolekcjonerskich bezpośrednio od NBP).

GIODO na moje zapytanie o adekwatność zbierania takich danych przez NBP odpowiedział że "rozważy podjęcie z urzędu interwencji w tej sprawie". Z NBP odpowiedzi póki co nie uzyskałem.

Co ciekawe NBP nie zarejestrował także bazy danych użytkowników korzystających z tego systemu. W portalu GIODO nie udało mi się też znaleźć bazy zarejestrowanej przez ZTM lub Urząd Miasta. Nie muszą? <:)

Warto też zwrócić uwagę, że do końca 2009 zakupu monet można było dokonać w NBP całkowicie anonimowo, po prostu w kasie oddziału. Odpada więc tłumaczenie że daleko idąca identyfikacja kupującego jest niezbędna dla realizacji świadczenia.

temat karty ZTM W-wa a Karty Kibica

w tym drugim wypadku mamy do czynienia z "uprawnieniem" ustawowym, ale de facto i de iurae uprawnienie w przypadku "obowiązkowych" kart kibica wynika z daleko posuniętej interpretacji Uobim (art. 3 ust. 19 oraz art 13 uobim).

w mojej ocenie karty RFID (KIK, ZTM, inne) to wynik kontraktu pomiędzy wydającym kartę (sprzedającym dostęp do usługi) a klientem (pasażer, widz, kibic, etc)

Szerzej o problemie z pktu widzenia uobim pisałem w:
- http://prawo.vagla.pl/node/8687
- http://prawo.vagla.pl/node/8056#comment-21830

refleksja jest jedna:
jeśli GIODO problemu nie widzi to wg mnie może go zobaczyć UOKiK, ponieważ przymus karty RFID i brak alternatywy dla klienta lub w wyniku wybrania alternatywy dyskryminacja (mniejsze zniżki) to klauzule niedozwolone.
Wszak na etapie wniosku o kartę wybór opcji przetwarzania danych (dla celów marketingowych lub w celu realizacji usługi) z reguły nie ma.

P.S Konstytucji w mini wersji (kieszonkowa) nie dostają
obywatele gdy kończą 18 lat. Parlamentarzyści/ustawodawca przypominają narodowi brzmienie wybranych artykułów tylko
przy okazji walki politycznej z przedstawicielami innych ugrupowań politycznych.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>